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Beschreibung 

Verfahren und Vorrichtung zum modularen Multiplizieren und 
Rechenwerk zum modularen Multiplizieren 

5 

Die vorliegende Erfindung bezieht sich auf Verfahren und Vor- 
richtungen zum Durchfuhren einer modularen Multiplikation und 
z. B. auf die modulare Multiplikation fur elliptische Kurven 
iiber GF(2 n ) . 

10 

Die Kryptographie ist eine der wesentlichen Anwendungen fur 
die modulare Arithmetik. Abhangig von der Gestalt des Moduls 

^ N werden grundsat zlich zwei Kryptographiemethoden unterschie- 
den. Ist der Modul eine Ganzzahl, so wird von einer Z/NZ- 

15 Arithmetik gesprochen. Der Parameter N steht fur eine Prim- 
zahl oder fur zusammengeset zte Primzahlen. Der Parameter Z 
steht fur ganze Zahlen. Ein Beispiel fur den Fall, bei dem 
der Modul aus zwei Primzahlen zusammengeset zt ist, ist die 
RSA-Gleichung: 

20 

C = M E mod(N) . 

Hierbei ist, wie es bekannt ist, C eine verschlusselte Nach- 
richt, M ist eine nicht-verschlusselte Nachricht, E ist der 
25 offentliche Schlussel, und N ist der Modul. 

J* 

Im Gegensatz dazu ist die GF (2 n ) -Arithmetik dadurch gekenn- 
zeichnet, daft der Modul N(x) ein Polynom einer Variablen x 
ist. Das Polynom umfaftt eine Summe von einzelnen Potenzen von 

30 x, wobei jeder Potenz von x ein Koeffizient zugeordnet ist. 

Der Exponent der hochsten Potenz von x wird als Grad des Po- 
lynoms bezeichnet. Wenn die Koef f izienten aus dem Korper 
GF(2) sind, so wir d von einem GF(2 n ) -Modul bzw. allgemeiner 
von einer GF ( 2 n ) -Arithmetik gesprochen. Die GF ( 2 n ) -Arithmetik 

35 wird z. B. in der Ellipt ische-Kurven-Kryptographie verwendet . 
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Ein Polynom f(x) e GF(2)[x] des Grads n-1 wird durch die n 
Koef f izienten a n -i/ . - . , a 0 gegeben, wobei die a ± aus der Men- 
ge GF(2) sein mussen, und wobei a n _i per Definition gleich 1 
ist : 

f(x) - 1 * x n_1 + a n _ 2 * x n " 2 + ... + ai * x 1 + a 0 * x° 

Der Korper GF(2 n ) wird durch ein irreduzibles Polynom vom 
Grad n und Polynome aus GF(2 n ) des Grads kleiner oder gleich 
n-1 gegeben. 

Die Addition in GF(2 n ) von zwei Elementen, d. h. Polynomen, 
ist gegeben durch die XOR-Verknupf ung ihrer Koef f izientenvek- 
toren der Lange n. 

Die Multiplikation in GF(2 n ) von zwei Elementen, d. h. Poly- 
nomen f wird durch Multiplizieren der Polynome liber GF(2 n ) und 
das anschlieliende Reduzieren des erhaltenen Produkts modulo 
dem irreduziblen Polynom N(x) des Grads n erreicht, welches 
den entsprechenden Korper definiert. 

Somit muft das Produktpolynom, also das Polynom, das sich aus 
der Multiplikation eines ersten Polynoms f (x) mit einem zwei- 
ten Polynom g(x) ergibt, einer Polynomdivision mit dem Modul- 
Polynom N(x) als Teiler unterzogen werden, urn die modulare 
Operation durchzuf uhren . Das Ergebnis von f(x) * g(x) mod 
N(x) ist dann das Restpolynom, das sich aus der Polynomdivi- 
sion ergibt. 

Bevor auf verschiedene Arten und Weisen zum effizienten Aus- 
fuhren der modularen Multiplikation sowohl uber Z/NZ als auch 
uber GF(2 n ) eingegangen wird, sei darauf hingewiesen, daft die 
modulare Exponentiation sowohl bei Z/NZ als auch bei GF(2 n ) 
mittels des bekannten Square-and-Multiply-Algorithmus in eine 
Multiplikation zerlegt werden kann. Es sei folgende Gleichung 
zu losen: 
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C (x) = (M (x) ) E mod N (x) . 

Der Square-and-Multiply-Algorithmus basiert darauf, daft der 
5 Exponent E in eine Summe von Zweierpotenzen zerlegt wird: 

E=xm*2' 

i 

Das folgende Beispiel soil dies veranschaulichen. In binarer 
Darstellung soli gelten: 

10 

n ' E = 1011, 

Damit gilt folgender Zusammenhang : 
15 C(x) = M(x) A (l*2 3 +0*2 2 +l*2 1 +l*2°) mod N(x). 

Damit gilt: 

C(x) = (M(x) ) 8 * (M(x) )° * (M(x) ) 2 * (M(x) )° mod N(x) . 

20 

Die oben beschriebenen Gleichungen lauten entsprechend fur 
die Z/NZ-Arithmetik, jedoch mit dem Unterschied, daft statt 
jf^ M(x) M zu schreiben ist, und statt N(x) N zu schreiben ist. 

25 Eine bekannte, effiziente und oft verwendete Moglichkeit, urn 
die modulare Multiplikation zu berechnen, ist in der Technik 
als Montgomery-Multiplikation bekannt und z. B. im ^Handbook 
of Applied Cryptography", Menezes, van Oorschot, Vanstone, 
CRC Press, Seiten 600-603, beschrieben. Die Montgomery- 

30 Reduktion ist eine Technik, die eine effiziente Implementati- 
on der modularen Multiplikation erlaubt, ohne daft der klassi- 
sche modulare Reduktionsschritt explizit ausgefuhrt wird. 
Allgemein gesagt wird bei der Montogomery-Redukt ion die Divi- 
sionsoperation durch einfache Verschiebungsoperat ionen ausge- 

35 druckt. 
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Mittlerweile ist auch eine Erweiterung der Montgomery- 
Multiplikationsoperation auf den endlichen Korper GF(2 n ) be- 
kannt . Diese Erweiterung ist in ^Montgomery Multiplication in 
GF(2 k )", Koc, Azar, Designs, Codes and Cryptography, Bd. 14, 
1998, S. 57 - 69, beschrieben. Diese Erweiterung ist ferner 
in „A Scalable and Unified Multiplier Architecture for Finite 
Fields Z/NZ and GF(2 n )", Erkay Savas u. a., Cryptographic 
Hardware and Embedded Systems (CHESS 2000), S. 281 - 289, 
Springer Lecture Notes, beschrieben. 

Nachteilig an der Montgomery-Multiplikation uber Z/NZ oder 
GF(2 n ) ist die Tatsache, daft zwar die hardwaremaliig schlecht 
implementierbare Divisionsoperation zur modularen Reduktion 
durch Verschiebungsoperationen umgangen wird, aber keine 
Look-Ahead-Verf ahren oder Vorausschau-Verf ahren eingesetzt 
werden, urn die modulare Multiplikationsoperation hardwarema- 
Big zu beschleunigen . 

Die DE 3631992 C2 offenbart ein Verfahren, bei dem die modu- 
lare Multiplikation uber Z/NZ unter Verwendung eines Mul- 
tiplikations-Vorausschau-Verf ahrens und unter Verwendung ei- 
nes Reduktions-Vorausschau-Verf ahrens beschleunigt werden 
kann. Das in der DE 3631992 C2 beschriebene Verfahren wird 
auch als ZDN-Verf ahren bezeichnet und anhand von Fig. 9 naher 
beschrieben. Nach einem Startschritt 900 des Algorithmus wer- 
den die globalen Variablen M, C und N initialisiert . Ziel ist 
es, folgende modulare Multiplikation zu berechnen: 

Z = M * C mod N. 

M wird als der Multiplikator bezeichnet, wahrend C als der 
Multiplikand bezeichnet wird. Z ist das Ergebnis der modula- 
ren Multiplikation, wahrend N der Modul ist. 

Hierauf werden verschiedene lokale Variablen initialisiert, 
auf die zunachst nicht naher eingegangen werden braucht. An- 
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schlieftend werden zwei Vorausschau-Verf ahren angewandt. Im 
Multiplikations-Vorausschau-Verf ahren GEN_MULT_LA wird unter 
Verwendung verschiedener Look-Ahead-Regeln ein Multiplikati- 
ons-Verschiebungswert s 2 sowie ein Multiplikations- 
5 Vorausschau-Parameter a berechnet (910). Hierauf wird der ge- 
genwartige Inhalt des Z-Registers einer Links-Verschiebungs- 
Operation urn s z -Stellen unterzogen (920). 

Im wesentlichen parallel dazu wird ein Reduktions- 

10 Vorausschau-Verf ahren GEN_Mod_LA (930) durchgef uhrt , urn einen 
Reduktionsverschiebungswert s N und einen Reduktions-Parameter 

^ b zu berechnen. In einem Schritt 940 wird dann der gegenwar- 
tige Inhalt des Modul-Registers, also N, urn s N Stellen ver- 
schoben, um einen verschobenen Modulwert N' zu erzeugen. Die 

15 zentrale Drei-Operanden-Operation des ZDN-Verf ahrens findet 

in einem Schritt 950 statt. Hierbei wird das Zwischenergebnis 
Z' nach dem Schritt 920 zu dem Multiplikanden C, der mit dem 
Multiplikations-Vorausschau-Parameter a multipliziert ist, 
und zu dem verschobenen Modul N ' , der mit dem Reduktions- 

20 Vorausschau-Parameter b multipliziert ist, addiert. Je nach 
aktueller Situation konnen die Vorausschau-Parameter a und b 
einen Wert von +1, 0 oder -1 haben. 

Ein Fall besteht darin, daft der Multiplikations-Vorausschau- 
25 Parameter a +1 betragt, und daft der Reduktion-Vorausschau- 
Parameter b -1 betragt, so daft zu einem verschobenen Zwi- 
schenergebnis Z' der Multiplikand C hinzu addiert wird, und 
der verschobene Modul N' da von subtrahiert wird. a wird u. a. 
einen Wert gleich 0 haben, wenn das Multiplikations- 
30 Vorausschau-Verf ahren mehr als eine voreingestellte Anzahl 

von einzelnen Links-Verschiebungen zulassen wiirde, also wenn 
s z grofter als der maximal zulassige Wert von s z ist, der auch 
als k bezeichnet wird. Fur den Fall, daft a gleich 0 ist, und 
daft Z' aufgrund der vorausgehenden modularen Reduktion, also 
35 der vorausgehenden Subtraktion des verschobenen Moduls noch 

ziemlich klein ist, und insbesondere kleiner als der verscho- 
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bene Modul N ' 1st, mufl keine Reduktion stattfinden, so daft 
der Parameter b gleich 0 ist. 

Die Schritte 910 bis 950 werden so lange durchgef iihrt , bis 
5 samtliche Stellen des Multiplikanden abgearbeitet sind, also 
bis m gleich 0 ist, und bis auch ein Parameter n gleich 0 
ist, welcher angibt, ob der verschobene Modul N ' noch grofier 
als der ursprungliche Modul N ist, oder ob trotz der Tatsa- 
che, daft bereits samtliche Stellen des Multiplikanden abgear- 
10 beitet sind, noch weitere Reduktionsschritte durch Subtrahie- 
ren des Moduls von Z durchgef uhrt werden mussen. 

Abschlieftend wird noch bestimmt, ob Z kleiner als 0 ist. 
Falls dies der Fall ist, mufi, urn eine abschliefiende Reduktion 
zu erreichen, der Modul N zu Z hinzuaddiert werden, damit 
schliefilich ein positives Ergebnis Z der modularen Multipli- 
kation erhalten wird. In einem Schritt 960 ist die modulare 
Multiplikation mittels des ZDN-Verf ahrens beendet . 

Der Multiplikations-Verschiebungswert s z sowie der Multipli- 
kations-Parameter a, welche im Schritt 910 durch den Mul- 
tiplikations-Vorausschau-Algorithmus berechnet werden, erge- 
ben sich durch die Topologie des Multiplikators sowie durch 
die eingesetzten Vorausschau-Regeln, die in der DE 3631992 C2 
beschrieben sind. 

Der Reduktions-Verschiebungswert s N und der Reduktions- 
Parameter b werden, wie es ebenfalls in der DE 3631992 C2 be- 
schrieben ist, durch Vergleich des gegenwartigen Inhalts des 
Z-Registers mit einem Wert 2/3 mal N bestimmt. Aufgrund die- 
ses Vergleiches tragt das ZDN-Verf ahren seinen Namen (ZDN = 
Zwei Drittel N) . 

Das ZDN-Verfahren, wie es in Fig. 9 dargestellt ist, fuhrt 
35 die modulare Multiplikation auf eine Drei-Operanden-Addition 
(Block 950 in Fig. 9) zuruck, wobei zur Steigerung der Re- 
chenzeitef f izienz das Multiplikations-Vorausschau-Verfahren 




20 



25. 



30 
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und damit einhergehend das Reduktions-Vorausschau-Verf ahren 
eingesetzt werden. Im Vergleich zur Montgomery-Reduktion fur 
Z/NZ kann daher ein Rechenzeitvorteil urn einen Faktor in der 
Groftenordnung von 3 erreicht werden. 

5 

Wie es bereits ausgefuhrt worden ist, arbeitet das in der DE 
3631992 C2 beschriebene ZDN-Verf ahren lediglich fur die Z/NZ- 
Arithmetik. Dasselbe ist nicht fur die GF ( 2 n ) -Arithmetik ge- 
eignet. Es besteht daher derzeit kein Verf ahren, bei dem fur 
10 die GF (2 n ) -Arithmetik rechenzeitef f iziente Look-Ahead- 

Verfahren eingesetzt werden konnen, urn die modulare Multipli- 
kation liber GF (2 n ) zu beschleunigen . 

Die Aufgabe der vorliegenden Erfindung besteht darin, ein 
15 Konzept zum schnellen Durchfuhren einer modularen Multiplika- 
tion uber GF (2 n ) zu schaffen. 

Diese Aufgabe wird durch ein Verfahren zum modularen Multip- 
lizieren gemaft Patentanspruch 1, durch eine Vorrichtung zum 
20 modularen Multiplizieren gemafi Patentanspruch 7 oder durch 
ein Rechenwerk gemafi Patentanspruch 11 gelost. 

Der vorliegenden Erfindung liegt die Erkenntnis zugrunde, daft 
eine Beschleunigung der modularen Multiplikation uber GF (2 n ) 

25 dadurch erreicht werden kann, daft sowohl ein Multiplikations- 
,-«r Vorausschau-Verf ahren als auch ein Reduktions-Vorausschau- 

Verf ahren eingesetzt werden. Im Multiplikations-Vorausschau- 
Verfahren wird ein Multiplikations-Verschiebungswert berech- 
net. Im Reduktions-Vorausschau-Verf ahren, das vorzugsweise 

30 parallel zum Multiplikations-Vorausschau-Verf ahren ablauft, 
wird ein Reduktions-Verschiebungswert berechnet, wobei der 
Reduktions-Verschiebungswert gleich der Differenz des Grads 
eines urn den Multiplikat ions-Verschiebungswert verschobenen 
Zwischenergebnis-Polynoms und des Grads des aktuellen Modul- 

35 Polynoms ist. Wahrend das Zwischenergebnis-Polynom mit der 
Variable, die mit dem Multiplikat ions-Verschiebungswert po- 
tenziert ist, multipliziert wird, wird das Modul-Polynom mit 
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der Variable, die mit dem Reduktions-Verschiebungswert poten- 
ziert ist, multipliziert . Damit laftt sich auch fur die 
GF (2 n ) -Arithmetik eine Drei-Operanden-Addition formulieren, 
so daft ein neues Zwischenergebnis-Polynom berechnet werden 
kann, indem das urn den Multiplikations-Verschiebungswert ver- 
.schobene letzte Zwischenergebnis-Polynom mit dem Multiplikan- 
den summiert wird, und indem dann davon das urn den Redukti- 
ons-Verschiebungswert verschobene Modul-Polynom subtrahiert 
wird, urn ein aktualisiertes Zwischenergebnis-Polynom zu er- 
halten. Anschlieftend werden samtlich Schritte wiederholt, je- 
doch nun mit dem aktualisierten Zwischenergebnis-Polynom und 
dem in dem letzten Schritt verschobenen Modul-Polynom, urn 
nacheinander samtliche Partialprodukte auf zusummieren, d. h. 
bis alle Potenzen des Multiplikators abgearbeitet sind. 

Die Drei-Operanden-Addition vereinfacht sich fur den Fall der 
GF (2 n ) -Arithmetik insbesondere dadurch, daft die Koef f izienten 
der Potenzen der Variablen x entweder den Wert „0" oder „1" 
haben konnen. Damit wird sowohl die Addition als auch die 
Subtraktion zu einer einfachen XOR-Verknupf ung , so daft fur 
ein Rechenwerk, das lediglich fur die GF (2 n ) -Addition ausge- 
fuhrt ist, als arithmetische Einheit nicht einmal mehr ein 
Addierer benotigt wird, sondern lediglich eine bitweise XOR- 
Verknupf ung der drei Operanden. 

Im Falle eines dualen Rechenwerks, also eines Rechenwerks, 
das sowohl eine modulare Multiplikation in Z/NZ als auch eine 
modulare Multiplikation in GF(2 n ) ausfuhren soli, kann der 
bereits fur das ZDN-Verf ahren vorhandene Drei-Operanden- 
Addierer einfach dadurch fur GF ( 2 n ) -Operationen modifiziert 
werden, daft der Ubertrag fur jedes Bit des Addierers ausge- 
schaltet wird, bzw. nicht berucksichtigt wird. 

Es sei darauf hingewiesen, daft das erf indungsgemafte Verfahren 
zum Berechnen der modularen Multiplikation in GF (2 n ) eine Se- 
riell-Parallel-Architektur hat. Die Drei-Operanden-Addition 
findet vorzugsweise immer parallel statt, d. h. fur samtliche 
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Bits der Summanden, welche typischerweise eine Breite zwi- 
schen 150 und 1100 Bits haben, wobei dann in einer nachsten, 
seriellen, Iteration des er f indungsgemafien Verfahrens ein 
neues Partialprodukt berechnet wird und in einer folgenden 
5 parallelen Drei-Operanden-Addition zu dem bereits bestehenden 
Zwischenergebnis hinzuaddiert wird. 

Das erf indungsgemafie Konzept zum Berechnen einer modularen 
Multiplikation ist dahingehend vorteilhaft, daft es auch fur 
10 GF(2 n ) eine maximale Beschleunigung urn einen Faktor in der 
GrofJenordnung von zwei im Vergleich zur Montgomery- 
Multiplikation liefert. 

Ein weiterer Vorteil des erf indungsgemafien Konzepts besteht 
15 darin, daft nunmehr ein effizientes Verfahren zum Berechnen 

der modularen Multiplikation in GF(2 n ) angegeben ist, so dafi 
beispielsweise der ECDSA-Algorithmus (ECDSA = Elliptic Curve 
Digital Signature Algorithm) liber GF(2 n ) berechnet werden 
kann. Dieser Algorithmus ist in „ Public Key Cryptography for 
20 the Financial Services Industry: The Elliptic Curve D.S.A.", 
ANSI X9.62 - 1998 beschrieben. 

Es sei darauf hingewiesen, dafl die Elliptische-Kurven- 
Kryptographie im Vergleich zur Kryptographie, die auf modula- 
25 rer Arithmetik bezuglich einer Ganzzahl basiert, dahingehend 
^ bevorzugt wird, dafi mit wesentlich kleineren Zahlen ahnliche 
Sicherheitsstandards erreicht werden. Wahrend fur das RSA- 
Verfahren uber Z/NZ mit 1024 Bits breiten Zahlen gute Sicher- 
heitsstandards erreicht werden, genugen hierfur bereits Poly- 
30 nome uber GF(2), deren Grad im Bereich von 150 bis 300 Poten- 
zen der Variablen x liegt. 

Ein weiterer Vorteil der vorliegenden Erfindung besteht dar- 
in, dafi das erf indungsgemafie Konzept zum Berechnen der modu- 
35 laren Multiplikation ohne weiteres in bereits bestehende Re- 
chenwerke fur das ZDN-Verf ahren integriert werden kann, da 
das eigentlichen Langzahlrechenwer k f namlich der Drei- 
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Operanden-Addierer, einfach dadurch auf GF(2 n ) angepaftt wer- 
den kann, daft der bitweise Ubertrag deaktiviert wird. Ob- 
gleich sich die arithmetischen Einheiten fur den Reduktions- 
Vorausschau-Algorithmus und fur den Multiplikations- 
5 Vorausschau-Algorithmus fur GF(2 n ) von den entsprechenden 
Vorrichtungen fur Z/NZ unterscheiden, ist dies fur das Ge- 
samtverhalten des Rechenwerks nicht maftgeblich, da hier Addi- 
tionen, Verschiebungen oder Subtraktionen mit kleinen Zahlen, 
welche vielleicht nur 8 oder 16 Bit breit sind, so daft die 

10 Chipflache fur diese arithmetischen Einheiten, welche auch 

als Steuereinheiten bezeichnet werden, im Vergleich zum Lang- 
zahl-Rechenwerk, also dem Drei-Operanden-Addierer , welcher 

4t durchaus uber 2048 Bits breit sein kann (in dualer Ausfuhrung 
fur Z/NZ und GF(2 n )), nicht wesentlich ins Gewicht fallen. 

15 

Ein weiterer Vorteil des erf indungsgemaften Konzepts fur eine 
modulare Multiplikation in GF(2 n ) besteht darin, daft viele 
Operationen im Vergleich zum ZDN-Verf ahren, welches lediglich 
fur die Z/NZ-Arithmetik f unktioniert , vereinfacht werden kon- 

20 nen. So muft bei der erf indungsgemaften GF (2 n ) -Modulo- 

Multiplikation kein Vergleich mit dem 2/3-fachen des Moduls 
mehr durchgefuhrt werden, Dieser Vergleich kann in GF(2 n ) 
einfach durch den Vergleich des Grads des Zwischenergebnis- 
Polynoms mit dem Grad des Modul-Polynoms ersetzt werden, 

25 Nachdem der Erwartungswert fur den Multiplikations- 
• Verschiebungswert und der Erwartungswert fur den Reduktions- 
Verschiebungswert identisch sind, sind die beiden Voraus- 
schau-Verf ahren voneinander entkoppelt, so daft das Potential 
besteht, daft die beiden Vorausschau-Verf ahren unabhangig von- 

30 einander arbeiten, was wiederum Rechenzeitvorteile mit sich 
bringt . 

Bevorzugte Ausf uhrungsbeispiele der vorliegenden Erfindung 
werden nachfolgend bezugnehmend auf die beiliegenden Zeich- 
35 nungen detailliert erlautert. Es zeigen: 



200015061 



11 



Fig. 1 ein Flufidiagramm zur Veranschaulichung der modula- 
ren Exponentiation in GF(2 n ); 

Fig. 2 ein Flufidiagramm auf hoher Ebene des erf indungsge- 
mafien Verfahrens; 

Fig. 3 ein Flufidiagramm des Multiplikations-Vorausschau- 
Verfahrens, um den Multiplikations- 
Verschiebungswert zu berechnen; 

Fig. 4 ein Fluftdiagramm des Reduktions-Vorausschau- 

Verfahrens, um den Reduktions-Verschiebungswert zu 
berechnen; 

Fig. 5 einen Ausschnitt eines Drei-Operanden-Addierwerks 
fur die GF (2 n ) -Arithmetik oder die Z/NZ-Arithmetik . 

Fig. 6 eine detaillierte Darstellung der Carry-Abschalt- 
Funktion; 

Fig. 7 ein Blockschaltbild eines Z/NZ-GF (2 n ) -Rechenwerks; 

Fig. 8a bis 8c eine schematische Darstellung zur Veranschau- 
lichung der Berechnung des Reduktions- 
Ver schiebungswerts ; 

Fig. 9 ein Ubersichtdiagramin des ZDN-Verf ahrens zum Durch- 
fuhren einer modularen Multiplikation in Z/NZ. 

Fig. 1 zeigt ein allgemeines Flufidiagramm zum Zerlegen einer 
modularen Exponentiation 

C(x) = (M(x) ) E mod N(x) 



in eine Serie von Multipli kationen . M(x) 
nome der Variablen x. E ist ein Exponent 
lung, der eine Bitlange L(E) aufweist. 



und N(x) sind Poly- 
in binarer Darstel- 
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s z sowie vorzugsweise einen Multiplikations-Vorausschau- 
Parameter a zu berechnen. 

Das Reduktions-Vorausschau-Verfahren dient dazu, einen Reduk- 
tions-Verschiebungswert s N und vorzugsweise auch einen Reduk- 
tions-Vorausschau-Parameter b zu berechnen. 

In einem Block 214 wird ein verschobenes Zwischenergebnis- 
Polynom Z' berechnet, indem das aktuelle Zwischenergebnis- 
Polynom Z mit der Variablen x, die mit dem Multiplikations- 
Verschiebungs-Wert s z potenziert ist, multipliziert wird. 

Vorzugsweise parallel dazu wird in einem Block 216 ein ver- 
schobenes Modul-Polynom N ' berechnet, indem das aktuelle Mo- 
dul-Polynom N mit der Variablen x, die mit dem Reduktions- 
Verschiebungs-Wert s N potenziert ist, multipliziert wird. 

In einem Block 218 wird dann die sogenannten Drei-Operanden- 
Addition ausgefuhrt, die die zentrale Operation des erfin- 
dungsgemaften Multiplikationsverf ahrens ist. In dem Block 218 
wird ein aktualisiertes Zwischenergebnis-Polynom Z berechnet, 
welches durch Addition des Zwischenergebnis-Polynoms Z' mit 
dem Multiplikanden C multipliziert mit dem Multiplikations- 
Vorausschau-Parameter a und dem verschobenen Modul-Polynom N ' 
multipliziert mit dem Reduktions-Vorausschau-Parameter b er- 
halten wird. 

In einem Block 220 wird uberpruft, ob die Laufvariable m 
gleich 0 ist, und ob gleichzeitig die Laufvariable n gleich 0 
ist. Wenn die Laufvariable m gleich 0 ist, bedeutet dies, dafi 
alle Bits des Multiplikators M(x) abgearbeitet sind. Wenn die 
Laufvariable n gleich 0 ist, bedeutet dies, daft das verscho- 
bene Modul-Polynom N ' wieder dem ursprunglichen Polynom N aus 
dem Block 202 entspricht. 

Sind diese beiden Vorausset zungen erfullt, wird der Block 220 
also mit JA beantwortet, so kann das Ergebnis der modularen 
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Multiplication, also Z(x), in einem Block 222 ausgegeben wer- 
den. Das Verfahren zur modularen Multiplication ist dann mit 
einem Block 224 beendet. 

5 Wird der Block 220 dagegen mit „NEIN" beantwortet, so bedeu- 
tet dies, daft entweder noch Bits des Multiplikators vorhanden 
sind, die nicht abgearbeitet worden sind, oder daft das Modul- 
polynom N', das in dem Register fur das Modul-Polynom gehal- 
ten wird, noch grower als das ursprungliche in dem Block 202 

10 definierte Modul-Polynom ist* In anderen Worten bedeutet 

dies, daft der Grad des aktuellen in dem Register fur das Mo- 
dul-Polynom gehaltenen Polynoms grofter ist als der Grad des 
ursprunglichen Modul-Polynoms N, das im Block 202 definiert 
worden ist. Wenn dies der Fall ist, wird wieder zuruckge- 

15 sprungen, wie es durch eine Ruckkopplung 226 in Fig. 2 ge- 

zeigt ist, urn erneut sowohl das Multiplikations-Vorausschau- 
Verfahren als auch das Reduktions-Vorausschau-Verf ahren aus- 
zufuhren. Im Gegensatz zum ersten Schritt, bei dem das Z- 
Register aufgrund der Initialisierung im Block 204 auf 0 ge- 

20 setzt war, steht nun im Z-Register das Ergebnis der Drei- 
Operanden-Operation 218 des vorausgehenden Schritts. 

Genauso steht in dem Modul-Register N nun nicht mehr das ur- 
sprungliche im Block 202 definierte Modul N, sondern das urn 

25 den Reduktions-Verschiebungswert s N verschobene Modul-Polynom 
^ N ' . Der ursprungliche Modul N(x), der in Block 202 definiert 
worden ist, wird somit nur wahrend des ersten Iterations- 
schritts in dem N-Register stehen, wobei wahrend der Iterati- 
on (Iterationsschleife 226) in dem Modul-Register immer das 

30 verschobene Modul-Polynom steht, also ein Modul-Polynom, das 
mit der Variablen x, die mit einem Reduktions- 
Verschiebungswert s N potenziert ist, multipliziert worden 
ist . 

35 Im nachf olgenden wird auf Fig. 3 eingegangen, welche eine de- 
tailliertere Darstellung des Mult iplikat ions-Vorausschau- 
Verfahrens, also des Blocks 210 von Fig. 2, darstellt. Das 
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Multiplikations-Vorausschau-Verf ahren startet in einem Block 
300. Es erhalt als globale Variablen den Parameter m aus Fig. 
2, eine weitere Laufvariable cur k , auf die spater noch einge- 
gangen wird, sowie den Multiplikator M . Dies ist durch einen 
5 Block 302 in Fig. 3 dargestellt. In einem Block 304 wird dann 
der Multiplikations-Verschiebungswert s z auf 0 initialisiert . 
Daruber hinaus wird der Multiplikations-Vorausschau-Parameter 
a, auf den spater noch eingegangen wird, auf einen Wert 
gleich 1 initialisiert (Block 306) . 

10 

Hierauf wird in einem Block 308 untersucht, ob das gegenwar- 
tig zur Debatte stehende Bit, bzw. der Koeffizient der aktu- 

0 ell verarbeiteten Potenz von x gleich 0 ist oder nicht. Wird 
in dem Block 308 bestimmt, daft das aktuell verarbeitete Bit 

15 des Multiplikators ungleich 0 ist, also wird die Entscheidung 
des Blocks 308 mit JA beantwortet, so wird die Laufvariable m 
in einem Block 310 urn 1 inkrementiert . Daruber hinaus wird 
der Multiplikations-Verschiebungswert s z ebenfalls in einem 
Block 312 urn 1 inkrementiert. In einem Block 314 werden dann 

20 die Ergebnisparameter des Multiplikations-Vorausschau- 

Verfahrens, also der Multiplikations-Vorausschau-Parameter a 
und der Multiplikations-Verschiebungswert s Z/ ausgegeben. 

Wird die Frage im Block 308 mit NEIN beantwortet, so wird zu 

§ einem weiteren Entscheidungsblock 316 gesprungen. Hier wird 
bestimmt, ob die Laufvariable m noch kleiner als die Lange, 
also der Grad, des Multiplikators M ist. Daruber hinaus wird 
untersucht, ob der gegenwartige Multiplikations- 
Verschiebungswert s z kleiner bzw. ungleich dem Parameter cur k 
30 ist. Werden beide Fragen mit JA beantwortet, so wird zu einem 
Block 318 gesprungen, urn den Parameter m urn 1 zu inkrementie- 
ren. Daruber hinaus wird in einem Block 320 auch der Mul- 
tiplikations-Verschiebungs-Wert s z urn 1 inkrementiert. Daran 
anschlieftend wird das nachste Bit des Multiplikators M unter- 
35 sucht, was in Fig. 3 durch einen Ruckkopplungszweig 322 dar- 
gestellt ist. 
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Wird dagegen in dem Block 316 bestimmt, daft eine der beiden 
Fragen im Block 316 mit NEIN beantwortet wird, so wird zu ei- 
nem Block 324 gesprungen, in dem der Multiplikations- 
Vorausschau-Parameter a auf 0 gesetzt wird. Somit ist zu se- 
5 hen, daft der Multiplikations-Vorausschau-Parameter a, der in 
dem Block 314 ausgegeben wird, entweder 0 oder 1 sein kann. 
Das Multiplikations-Vorausschau-Verfahren ist dann in einem 
Block 326 beendet. 

10 Im nachf olgenden wird auf die Funktionsweise des Multiplika- 
tions-Vorausschau-Parameters eingegangen. Bei dem Multiplika- 
tions-Vorausschau-Verf ahren, das erf indungsgemaft eingesetzt 
wird, handelt es sich urn einen Look-Ahead-Algorithmus fur die 
GF(2 n ) -Multiplikation mit variablen Verschiebungen uber Nul- 
15 len, wobei die Anzahl der variablen Verschiebungen nicht be- 
liebig groft werden kann, sondern hochstens gleich dem Wert 
CUR k sein kann. „CUR k " steht fur ^Current k" , bedeutet also 
„aktueller Wert des Parameters k" . 

Im nachf olgenden wird beispielhaft ein Multiplikatorpolynom 
mit den Koef f izienten ,,10001" untersucht. Zunachst wird das 
hochstwertige Bit desselben untersucht. Dieses Bit hat den 
Wert „l xx , so daft der Block 308 mit JA beantwortet wird, was 
dazu fuhrt, daft der Parameter m urn 1 inkrementiert wird, und 
daft auch der Multiplikations-Verschiebungswert s z ebenfalls 
urn 1 erhoht wird. Der Multiplikations-Vorausschau-Algorithmus 
ist damit bereits beendet, da das untersuchte Bit des Multi- 
plikators den Wert „1" hatte, derart, daft in der Drei- 
Operanden-Addition der Multiplikand C hinzuaddiert werden 
muft . 

In einem nachsten Durchgang des Multiplikations-Vorausschau- 
Algorithmus wird nunmehr das zweite Bit untersucht. Dieses 
Bit hat einen Wert von 0, so daft der Block 308 mit NEIN be- 
35 antwortet wird. Nachdem das untersuchte Bit gerade das zweite 
Bit des Multiplikands ist, und nachdem der Mult iplikations- 
Verschiebungswert s z aufgrund der Initialisierung im Block 
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304 nunmehr 0 ist, wird der Block 316 mit JA beantwortet, so 
daft die Lauf variable m urn 1 inkrementiert wird (318), und e- 
benfalls der Multiplikations-Verschiebungswert urn 1 inkremen- 
tiert wird (320) . Dann wird wieder uber den Zweig 322 in den 
Block 308 eingetreten. Da das nachste Bit ebenfalls den Wert 
„0" hat, wird dieser Block erneut mit NEIN beantwortet, und 
der Block 316 ist wieder aktuell. m ist immer noch kleiner 
als L(M), so daft diese Frage positiv beantwortet wird. s z hat 
gerade den Wert 1. Wenn angenommen wird, daft CUR k auf dem 
Wert 2 steht, so wird auch diese Frage positiv beantwortet, 
so daft erneut in den Blocken 318 und 320 Inkrementierungen 
von m und s z stattfinden. s z hat nunmehr, nach dem Durchlauf 
des Blocks 320, den Wert 2. Nun wird uber den Zweig 320 er- 
neut zum Block 308 gesprungen, urn f est zustellen, ob das aktu- 
elle nachste Bit eine 1 oder eine 0 ist. Erneut wird fur das 
vorliegende Beispiel der Block 308 mit NEIN beantwortet, da 
hier das dritte Bit in der Folge von Nullen untersucht wird. 
Der Block 316 wird nunmehr jedoch mit NEIN beantwortet, da s z 
2 betragt und die Variable CUR k ebenfalls auf 2 steht. Dies 
bedeutet, daft das Multiplikations-Vorausschau-Verf ahren nun- 
mehr eigentlich abgebrochen wird, obwohl auch die dritte 0 
dazu verwendet werden konnte, urn eine erneute Verschiebung zu 
bewirken. s z muft jedoch nach oben hin begrenzt werden, da 
sonst ein unendlich langes Z-Register vorgesehen werden muft- 
te, urn das verschobene Zwischenergebnis-Polynom Z', das im 
Schritt 214 von Fig. 2 berechnet wird, speichern zu konnen. 
CUR k wird somit abhangig von der aktuellen Bewegung des Z- 
Registers eingestellt, urn zwar einen moglichst groften Ver- 
schiebungswert s z zuzulassen, welcher ja zum Geschwindig- 
keitsgewinn beitragt, urn jedoch gleichzeitig mit einer be- 
grenzten Registerlange fur das verschobene Zwischenergebnis- 
Polynom Z' auszukommen. Die Drei-Operanden-Operation im Block 
218 von Fig. 2 degeneriert somit zu einer Zwei-Operanden- 
Operation, da der Parameter a in dem Block 324 von Fig. 3 auf 
0 gesetzt worden ist. 
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Wie es aus Fig. 3 zu sehen ist, fand in dem Zweig des Blocks 
324 keine weitere Inkrement ierung von m statt, so daft bei ei- 
nem erneuten Durchlauf des Multiplikations-Vorausschau- 
Algorithmus nunmehr das dritte 0-Bit in der Folge im Block 
308 untersucht wird. Da dieses Bit den Wert 0 hat, wird Block 
308 wieder mit NEIN beantwortet, so daft der Multiplikat ions- 
Verschiebungswert s z urn 1 inkrementiert wird, und daft auch 
die Laufvariable im Block 318 inkrementiert wird. Nunmehr 
wird das letzte Bit des Multiplikators , also die „1" unter- 
sucht. Da dieses Bit ungleich 0 ist, wird Block 308 mit JA 
beantwortet, die Laufvariable wird ein letztes Mai inkremen- 
tiert, und der Multiplikat ions-Verschiebungswert s z wird e- 
benfalls noch einmal inkrementiert, bis der Multiplikations- 
Vorausschau-Algorithmus fur diese Iteration beendet ist 
(Block 326) . Nunmehr sind alle Bits des Multiplikanden unter- 
sucht, so daft die Iterationsschleif e 226 von Fig. 2 beendet 
wird, da im Block 220 untersucht wird, ob m gleich 0 ist, was 
fur das vorliegende Beispiel nunmehr zutrifft. 

Im nachf olgenden wird auf Fig. 4 eingegangen, urn das Redukti- 
ons-Vorausschau-Verf ahren zu beschreiben, das in Fig. 2 mit 
dem Bezugszeichen 212 bezeichnet ist. In einem Block 400 wird 
das Reduktions-Vorausschau-Verf ahren begonnen. In einem Block 
402 werden verschiedene globale Variablen definiert, von de- 
nen insbesondere N und Z hervor zuheben sind. N ist der Regis- 
terwert fur das Modul-Polynom des vorausgehenden Schrittes, 
wahrend Z das aktualisierte Zwischenergebnis-Polynom eben- 
falls des vorausgehenden Schritts ist. k ist der maximale 
Verschiebungswert fur Z, CUR k ist der gegenwartige Verschie- 
bungswert fur Z und MAX stellt die Lange, d. h. die Anzahl 
von Bits, eines Overflow-Buffers dar, welcher dazu da ist, 
die nach links verschobenen Polynome N und Z zu speichern. 
Wenn Block 216 von Fig. 2 betrachtet wird, so ist zu sehen, 
daft, wenn ein beliebig grofter Reduktions-Verschiebungswert s N 
vorgesehen wird, ebenfalls wie im analogen Fall des 
Multiplikations-Vorausschau-Verf ahrens ein beliebig groftes 
Register fur N vorgesehen werden muftte. Dies ist jedoch aus 
Platz- und Ef f izienzgrunden nicht wunschenswert , so daft durch 
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Ef f izienzgrunden nicht wunschenswert, so daft durch den Para- 
meter MAX auch berucksichtigt wird, daft das Modul-Polynom 
ebenfalls nur um eine bestimmte Anzahl von Bits nach links, 
also nach oben, verschoben werden darf. 

In einem Block 404 wird dann ein Parameter Si, auf den nach- 
folgend eingegangen wird, auf 0 initialisiert . Hierauf wird 
in einem Block 406 f estgestellt , ob der Parameter n, welcher 
die Anzahl von Bits von N darstellt, die in dem Overflow- 
Puffer sind, gleich 0 ist, oder ob s L gleich k ist. Wird 
Block 406 mit JA beantwortet, so wird zu einem Block 408 ge- 
sprungen, in dem der Reduktions-Vorausschau-Parameter b auf 0 
gesetzt wird. Wird dagegen die Frage im Block 406 mit NEIN 
beantwortet, so wird der Parameter n um 1 inkrementiert 
(Block 410) . Gleichzeitig wird der Parameter s ± um 1 inkre- 
mentiert, wie es durch einen Block 412 dargestellt ist. An- 
schlieftend findet in einem Block 414 der zentrale Vergleich 
statt, durch den bestimmt werden soil, um wieviel das Modul- 
Polynom verschoben werden muft, damit in der Drei-Operanden- 
Operation (Block 218 von Fig. 2) eine modulare Reduktion des 
Zwischenergebnis-Polynoms stattfindet. Hierzu wird der Hilfs- 
Reduktions-Verschiebungswert Si so bestimmt, daft der Grad des 
Polynoms, der sich aus der Multiplikation von x, wobei x mit 
si potenziert ist, multipliziert mit dem aktualisierten Zwi- 
schenergebnis-Polynom des vorausgehenden Schritts ergibt, 
gleich dem Grad des aktuellen Modul-Polynoms ist. Dies wird 
schrittweise, wie es durch eine Iterationsschleif e 416 ange- 
deutet ist, so lange durchgef uhrt , bis entweder im Block 406 
ein JA-Ergebnis erhalten wird, oder bis im Block 414 ein JA- 
Ergebnis erhalten wird. Wird der Block 414 mit JA beantwor- 
tet, so wird in einem Block 418 der Reduktions-Vorausschau- 
Parameter b zu 1 gesetzt. Dann wird in einem Block 420 ein 
neuer Parameter n aus der Differenz des Multiplikations- 
Verschiebungswerts s z und dem aktuellen Wert n berechnet. Der 
eigentliche Reduktions-Verschiebungswert S N wird dann in ei- 
nem Block 422 berechnet, indem die Differenz zwischen dem 
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Multiplikations-Verschiebungswert s z und dem Hilfs- 
Reduktions-Verschiebungswert s± gebildet wird. 

Es sei darauf hingewiesen, daft der Multiplikations- 
Verschiebungswert s z durch den eigentlich parallel ablaufen- 
den Multiplikations-Vorausschau-Algorithmus geliefert wird, 
wie es durch einen Pfeil 230 in Fig. 2 angedeutet wird. Ohne 
Einfuhrung des Hilfs-Redukt ions-Parameters Si ware eigentlich 
nur eine serielle Ausfuhrung des Multiplikations-Vorausschau- 
Verfahrens und daran anschlieftend des Reduktions-Vorausschau- 
Verfahrens moglich, was aus Ef f izienzgrunden nicht wunschens- 
wert ist. Daher wird der Hilf s-Reduktions-Parameter s± ver- 
wendet, durch den die eigentliche Berechnung des Reduktions- 
Verschiebungswerts s N bereits so weit vorbereitet werden 
kann, daft die aufwendige Iterationsschleif e (Zweig 416 in 
Fig. 4) tatsachlich parallel zum Multiplikations-Vorausschau- 
Algorithmus abgearbeitet werden kann, wahrend die eigentliche 
Berechnung des Reduktions-Verschiebungswerts S N durch eine 
schnelle Dif f erenzbildung zwischen zwei Kurzzahlen s z und Si 
durchgefuhrt werden kann. Der Ablauf stellt sich somit fol- 
gendermaften dar. Parallel werden s z und s± berechnet . Dann 
wird s z (iber den Zweig 230 von Fig. 2, welcher auch in Fig. 4 
eingezeichnet ist, von dem Multiplikations-Vorausschau- 
Algorithmus zu dem Reduktions-Vorausschau-Algorithmus gelie- 
fert, so daft unmittelbar im nachsten Zyklus auch bereits der 
Reduktions-Verschiebungswert s N zur Verfugung steht. Hierauf 
wird spater bezugnehmend auf die Fig. 8a bis 8c naher einge- 
gangen . 

Nach dem Block 422 wird in einem Block 424 bestimmt, ob n 
grofter als MAX minus k ist. Wird diese Frage mit JA beantwor- 
tet, so wird in einem Block 426 ein neues cur k berechnet. 
Wird die Frage des Blocks 424 mit NEIN beantwortet, so wird 
in einem Block 428 cur k gleich k gesetzt. In einem Block 430 
werden dann die Ergebniswerte des Redukt ions-Vorausschau- 
Verfahrens, also b und s N ausgegeben, so daft das Reduktions- 
Vorausschau-Verf ahren in einem Block 432 beendet ist. 
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Bezuglich einer detaillierten Erklarung des Multiplikations- 
Vorausschau-Parameters a und des Reduktions-Vorausschau- 
Parameters b sowie der Speicher-Management-Parameter n, MAX, 
k und cur k wird auf die DE 3631992 C2 Bezug genommen. Im Un- 
terschied zum ZDN-Verf ahren fur Z/NZ, bei dem die Parameter 
und b Werte +1, 0 und -1 einnehmen konnten, konnen die ent- 
sprechenden Parameter a, b im erf indungsgemaften Verfahren le 
diglich die Werte 0 und 1 einnehmen. Die Vorausschau- 
Parameter a und b werden fur die modulare Multiplikation ge- 
maft der vorliegenden Erfindung lediglich optional benotigt, 
namlich dann, wenn nicht beliebig grofte Speicherplat ze fur N 
und Z zur Verfugung sind. Generell kann das erf indungsgemafte 
Verfahren jedoch unter der Voraussetzung, daft beliebig grofie 
Register zur Verfugung stehen, ohne weiteres ausgefuhrt wer- 
den, in diesem Fall wird das Multiplikations-Vorausschau- 
Verfahren niemals abgebrochen, sondern immer so lange durch- 
gefuhrt, bis wieder eine „1 XN im Multiplikator gefunden wird. 
Bis dahin hat, wenn auf Block 214 von Fig. 2 Bezug genommen 
wird, s z einen best immten moglicherweise grofien Wert, so daft 
das verschobene Zwischenergebnis-Polynom Z' einen moglicher- 
weise sehr groften Wert annehmen kann. Im Block 218 wird dann 
aufgrund der Tatsache, daft eine 1 im Multiplikator gefunden 
wurde, der Multiplikand zu dem verschobenen Zwischenergebnis 
Polynom Z' hinzuaddiert . 

Ein wesentliches Merkmal ist jedoch, daft gleichzeitig mit je 
dem Multiplikationsschritt auch eine modulare Reduktion 
stattfindet, damit insgesamt die Zahlenwerte in ertraglichen 
Grenzen gehalten werden konnen. 

Hierzu wird gemaft der vorliegenden Erfindung der Reduktions- 
Verschiebungs-Wert s N so gewahlt, daft der Grad des verschobe- 
nen Modul-Polynoms gleich dem Grad des aktuellen Zwischener- 
gebnis-Polynoms ist. Wenn dann das verschobene Modul-Polynom 
von der Summe aus Z'(x) und C(x) subtrahiert wird, wird das 
aktualisierte Zwischenergebnis Z ublicherweise immer kleiner 
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als Z' sein, so daft eine Reduktion erreicht worden ist. Dar- 
aus ist zu sehen, daft das aktualisierte Zwischenergebnis- 
Polynom Z, das durch den Schritt 218 von Fig. 2 berechnet 
wird, nicht zwingend bezuglich des ursprunglichen Modul- 
5 Polynoms aus dem Block 202 reduziert ist, sondern vielleicht 
wahrend der gesamten Iteration nur bezuglich eines nach links 
verschobenen Modul-Polynoms, d. h. eines Modul-Poynoms mit 
einem hoheren Grad, reduziert ist. Dies muft jedoch nicht 
zwingend so sein. Sollte dieser Fall jedoch auftreten, so 
10 wird durch den Schritt 220, in dem festgestellt wird, ob n 
gleich 0 ist, d. h. ob N Bits im Overflow-Puffer hat oder 
nicht, erreicht, daft weitere Subtraktionen des Moduls von dem 
aktualisierten Zwischenergebnis stattfinden, so daft dann Z 
nach und nach in die ursprungliche Restklasse zuruckgef uhrt 
15 wird. Wenn namlich n gleich 0 ist, bedeutet dies, daft keine 

Bits von N mehr in dem Overf low-Puf f er sind, was wiederum be- 
deutet, daft das letztendlich erhaltene verschobene Modul- 
Polynom gleich dem ursprunglichen Modul-Polynom aus Block 202 
ist . 

20 

Daher ist zu sehen, daft das erf indungsgemafte Verfahren zum 
modularen Multiplizieren grundsat zlich auch ohne Vorausschau- 
Parameter a und b ausgefuhrt werden konnte, wobei in diesem 
Fall jedoch - beliebige Multiplikatoren vorausgesetzt - theo- 
£5 retisch unbegrenzte Register fur Z und N erforderlich sein 
wurden. 



f 



Falls fur Z und N eine Speicherbegrenzung vorgesehen wird, 
also wenn die Vorausschau-Parameter a und b 0 sein konnen, so 

30 bedeutet ein Multiplikations-Vorausschau-Parameter a gleich 
0, daft kein Multiplikand zum verschobenen Z' hinzuaddiert 
wird. Analog dazu bedeutet ein Reduktions-Vorausschau- 
Parameter b gleich 0, daft das verschobene Modul-Polynom gro- 
wer als das verschobene Zwischenergebnis-Polynom Z' ist, wes- 

35 halb keine Reduktion erforderlich ist, so daft die Modul- 

Subtraktion ebenfalls ausfallen kann. In einem solchen Fall 
wurde die Drei-Operanden-Operation vollstandig degenerieren. 
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An dieser Stelle sei auch darauf hingewiesen, daft im Fall ei 
nes begrenzten Buffers fur die Register Z und N darauf zu 
achten ist, daft N mindestens k Bits von seinem Home-MSB weg- 
5 gehalten wird, so lange die Variable m noch nicht den Wert 
Null erreicht hat. 

Es sei ferner darauf hingewiesen, daft im Falle einer GF ( 2 n ) - 
Arithmetik, also. wenn die Koef f izienten des Polynoms nur 0 

10 oder 1 sein konnen, die Additionsoperation der Subtraktions- 
operation entspricht und allgemein als XOR-Ver knupf ung ausge 
fiihrt werden kann. Wenn jedoch Koef f izienten des Polynoms in 
Wft] einem anderen Zahlensystem zugelassen wlirden, beispielsweise 
in einem Oktal-System oder einem Dezimal-System, so wird die 

15 Subtraktion selbstverstandlich nicht der Addition entspre- 
chen. 

In nachfolgenden wird auf die Fig. 8a bis 8c eingegangen, urn 
die Berechnung des Reduktions-Verschiebungswerts s z unter 
20 Verwendung des Hilf s-Reduktions-Verschiebungswerts s± darzu- 
stellen. In Fig. 8a sind ein Zwischenergebnis-Polynom Z und 
ein Modul-Polynom N dargestellt. Lediglich beispielhaft hat 
das Zwischenergebnis-Polynom den Grad 4, also vier Bits, wah 
rend das Modul-Polynom den Grad 9, also neun Bits hat. Nun- 
mehr sei angenommen, daft in dem Block 214 von Fig. 2 ein ver 
schobenes Zwischenergebnis-Polynom Z' berechnet wird, was 
durch Multiplizieren der Variablen x, die mit s z potenziert 
ist, erreicht werden kann. So sei angenommen, daft im Multi- 
plikator 8 Nullen waren, was dazu fiihrt, daft der Multiplika- 
30 tions-Verschiebungswert s z gleich 8 war. Urn eine modulare Re 
duktion zu erreichen, muft der Modul N in die Groftenordnung 
d es verschobenen Zwischenergebnis-Polynoms Z' kommen. Erfin- 
dungsgemaft soli das Modul-Polynom N so weit verschoben wer- 
den, daft der Grad des verschobenen Zwischenergebnis-Polynoms 
35 Z' und der Grad des verschobenen Modul-Polynoms N gleich 

sind. Wie es aus Fig. 8b zu sehen ist, ist hierzu ein Reduk- 
tions-Verschiebungswert von s N gleich 3 erf orderlich . 
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Bezugszeichenliste 

200 Start des Verfahrens zur modularen Multiplikation 

202 globale Variablen 

204 Initialisieren des Zwischenergebnis-Polynoms 

206 Initialisieren von m 

208 Initialisieren von n 

210 Multiplikations-Vorausschau-Verf ahren 

212 Redukt ions -Vorausschau-Verf ahren 

214 Erzeugen des Zwischenergebnis-Polynoms 

216 Erzeugen des verschobenen Modul-Polynoms 

218 Drei-Operanden-Addition 

^ r 220 Uberprufen, ob der Algorithmus beendet ist 

222 Ausgeben von Z 

224 Stopp des Verfahrens zum modularen Multiplizieren 

22 6 Iterationsschleif e 

230 s z -Ubertragung 

300 Start des Multiplikations-Vorausschau-Verf ahrens 

302 Globale Variablen 

304 Initialisieren von s 2 

306 Initialisieren von a 

308 Feststellen, ob das verarbeitete Bit 0 oder 1 ist 

310 Inkrementieren von m 

312 Inkrementieren von s z ' 

314 Ausgeben von a und s z 

316 Feststellen, ob weiter verschoben werden kann 

318 Inkrementieren von m 

320 Inkrementieren von s z 

322 Iterationsschleif e 

324 Einstellen von a 

326 Stopp des Multiplikations-Vorausschau-Verfahrens 

400 Start des Reduktions-Vorausschau-Verf ahrens 

402 globale Variablen 

404 Initialisieren von s^ 

406 Feststellen, ob reduziert werden kann 

408 Einstellen von b 

410 Inkrementieren von n 
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412 Inkrementieren von s± 

414 Uberprufen des Grads des verschobenen 

Zwischenergebnis-Polynoms 

416 Iterationsschleife 

418 Einstellen von b 

420 Einstellen von n 

422 Berechnen von s N 

424 Uberprufen von n 

426 Einstellen von cur k 

428 Einstellen von cur k 

430 Ausgeben von b, s N 

432 Ende des Reduktions-Vorausschau-Verf ahrens 

500 Drei-Bit-Zahler 

510 Volladdierer 

520 Schalter 

530 Steuerung 

7 00 Drei-Operanden-Rechenwerk 

710 Z/NZ-Steuereinheit 

720 GF (2 n ) -Steuereinheit 

730 Modus-Auswahl 

900 Start des ZDN-Verf ahrens 

910 Multiplikations-Vorausschau-Verf ahren fur den ZDN- 

Algorithmus 

920 Verschieben von Z nach links 

930 Reduktions-Vorausschau-Verfahren fur den ZDN- 
Algorithmus 

940 Verschieben des Moduls nach links oder nach rechts 

950 Drei-Operanden-Addition fur den ZDN-Algorithmus 

960 Ende des ZDN-Algorithmus 
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Aus Fig. 8b ist ebenfalls zu sehen, daft die Ermittlung von s N 
eigentlich erst durchgefuhrt werden kann, wenn s z berechnet 
worden ist, d. h. daft eine parallele Ausfuhrung der Blocke 
210 und 212 von Fig. 2, wie es fur die vorliegende Erfindung 
bevorzugt wird, nicht moglich ist. Aus diesem Grund wird der 
Hilfs-Verschiebungs-Parameter s± eingefuhrt. Wie es aus Fig. 
8a zu sehen ist, ist der Hilfs-Verschiebungs-Parameter s± 
gleich der Differenz des Grads des Zwischenergebnis-Polynoms 
Z und des Modul-Polynoms N. Vorteilhaft an Si ist, daft dieser 
Wert berechnet werden kann, ohne das s z des aktuellen 
Schritts zu kennen . 

Aus Fig. 8c ist zu sehen, daft s z immer gleich der Summe aus 
si und s N ist. s N hangt somit immer mit s z und Si derart zusam- 
men, daft folgende Gleichung gilt: 

Sn = s z - Si. 

Das zeitaufwendige iterative Verfahren zum Bestimmen von s N 
kann somit zerlegt werden in ein zeitauf wendiges iteratives 
Verfahren zum Bestimmen von s± (Schleife 416) und eine 
schnelle Dif f erenz-Operation (Block 422 von Fig. 4). Damit 
ist eine nahezu parallele Ausfuhrung der beiden Vorausschau- 
Verfahren moglich, wobei die einzige serielle Komponente dar- 
in besteht, daft vor dem Berechnen des Blocks 422 (Fig. 4) der 
tatsachliche Wert von s z durch den Multiplikations- 
Vorausschau-Algorithmus bereits berechnet und geliefert wor- 
den ist (Pfeil 230 in Fig. 2) . 

Wie es bereits ausgefuhrt worden ist, besteht ein wesentli- 
cher Vorteil des erf indungsgemaften Konzepts zur Berechnung 
der modularen Multiplikation uber GF(2 n ) darin, daft es in das 
bereits bestehende Langzahl-Rechenwer k fur das ZDN-Verf ahren 
integriert werden kann. Fig. 5 zeigt einen Ausschnitt eines 
erf indungsgemaft angepassten 3-Operanden-Rechenwerks zum 
Durchfuhren der Drei-Operanden-Addition mit Z, aC und bN. 



200015061 



25 



In Fig. 5 sind drei untereinander verschaltete Bit-Slices 
[i], [i-1], [i-2] dargestellt. Jeder Bit-Slice umfasst einen 
Drei-Bit-Zahler 500 und einem Volladdierer 510, urn ausgangs- 
seitig ein Bit Z[i], Z[i-1] bzw. Z[i-2] des aktualisierten 
Zwischenergebnis-Polynoms zu erhalten. Der Volladdierer hat 
ferner einen Carry-Ausgang (Carry = Ubertrag) fur den Carry- 
Fingang des nachsthoheren Voll-Addierers . Werden beispiels- 
weise Polynome mit dem Grad 200 verarbeitet, so mussen 200 
B.it-Slice-Addierer von Fig. 5 parallel geschaltet werden. 

Urn eine Bit-Slice von Fig. 5 fur GF(2 n ) zu modif izieren, mufi, 
wie es in Fig. 5 gezeigt ist, ein UND-Gatter 520 zwischen den 
oberen Ausgang des 3-Bit-Zahlers und den zweituntersten Ein- 
gang des Volladdierers der nachsthoheren Stufe eingefugt wer- 
den. Wird eine 0 in den Enable-Eingang 530 eingespeist, so 
wird der Wert x immer 0 sein. Dann degeneriert die Funktion 
des Volladdierers 510 immer zur Addition von y und 0. Im Fal- 
le von Z/NZ wird der Enable-Eingang des UND-Gatters dagegen 
mit einer ,,1" beauf schlagt , so daft das UND-Gatter ohne weite- 
re Wirkung ist. 

Bei GF(2 n ) ist der Ausgang des UND-Gatters somit gleich 0. 
Bei Z/NZ wird X dagegen benotigt, und der Ausgang des UND- 
Gatters kann ungleich 0 sein. Das Enable wird somit durch ein 
UND-Gatter realisiert. Die Addition im Volladdierer wird da- 
gegen fur den Fall von GF(2 n ), also eine 0 am Enable-Eingang 
530, trivial . 

Fig. 6 zeigt die Situation am UND-Gatter 520. Das Rechenwerk, 
das in Fig. 5 teilweise dargestellt ist, wirkt als normaler 
Addierer, wenn das Enable-Signal SC = 1 ist. Es wirkt dagegen 
als XOR-Schaltung, wenn das Enable-Signal SC = 0 ist. 

Fig. 7 zeigt ein schematisches Blockschaltbild eines Rechen- 
werks fur Z/NZ und GF(2 n ). Das Rechenwerk gruppiert sich urn 
die Langzahl-Arithmetik-Einheit 700, welche die bereits be- 
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schriebene Drei-Operanden-Operation entweder fur Z/NZ oder 
GF(2 n ) durchfuhrt . 

Das Rechenwerk umfaftt ferner eine Z/NZ-Steuereinheit 710 so- 
wie eine GF (2 n ) -Steuereinheit 720 sowie eine Modusauswahl- 
Einrichtung 730. Soil das Rechenwerk Operationen Modulo einer 
ganzen Zahl berechnen, so wird die Modus-Auswahl 730 die a- 
rithmetische Einheit 700 derart ansteuern, daft eine echte Ad- 
ditionsoperation durchgefuhrt wird, wobei die arithmetische 
Einheit mit der Z/NZ-Steuereinheit 710 eingangsseitig und 
ausgangsseitig verbunden ist. Soil das Rechenwerk dagegen ei- 
ne GF (2 n ) -Arithmetik betreiben, so wird die Modus-Auswahl 730 
die arithmetische Einheit 700 so aktivieren, daft statt einer 
Addition eine XOR-Operation durchgefuhrt wird, und daft Ein- 
gang und Ausgang der arithmetischen Einheit mit der GF ( 2 n ) - 
Steuereinheit verbunden sind. 

Es sind somit keine getrennten arithmetischen Einheiten mehr 
erf orderlich, urn sowohl eine Ganzzahl-Modulo-Arithmetik als 
auch eine Polynom-Modulo-Arithmetik in einem Rechenwerk un- 
terzubringen . 

Es sei darauf hingewiesen, daft aufgrund der Tatsache, daft die 
Drei-Operanden-Operation fur samtliche Bits parallel durchge- 
fuhrt wird, der meiste Chip-Platz fur die arithmetische Ein- 
heit 700 verbraucht wird, wahrend die weiteren kleineren Be- 
rechnungen, die in den Steuereinheiten 710 und 720 auszufuh- 
ren sind, mit sehr sehr viel kiirzeren Zahlen zu bewerkstelli- 
gen sind, so daft dieselben bitf lachenmaftig nicht besonders 
ins Gewicht fallen. 

1m Gegensatz zu einem Rechenwerk, das sowohl fur die Ganz- 
zahl-Arithmetik als auch die Polynom-Arithmetik ein eigenes 
Rechenwerk benotigte, erlaubt das erf indungsgemafte Konzept 
zum Berechnen der modularen Multiplikat ion daher eine Chip- 
f lachenreduktion von nahezu 50%. Insbesondere fur Smart-Cards 
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fuhrt diese deutliche Chipf lacheneinsparung zu erheblichen 
Wettbewerbsvorteilen . 
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Patent an spruche 

1. Verfahren zum modularen Multiplizieren eines Multiplikan- 
den (C) mit einem Multiplikator (M) unter Verwendung eines 
Moduls (N), wobei der Multiplikand (C) , der Multiplikator (M) 
und der Modul (N) Polynome einer Variablen (x) sind, mit fol- 
genden Schritten: 

(a) Durchfuhren (210) eines Multiplikations-Vorausschau- 
Verfahrens, urn einen Multiplikations-Verschiebungswert (s z ) 
zu erhalten, wobei bei einer Potenz des Multiplikators, die 
im Multiplikator-Polynom nicht vorhanden ist, der Multiplika- 
tions-Verschiebungswert s z inkrementiert wird; 

(b) Multiplizieren (214) der Variable (x) potenziert mit dem 
Multiplikations-Verschiebungs-Wert (s z ) mit einem Zwischener- 
gebnis-Polynom (Z) , urn ein verschobenes Zwischenergebnis- 
Polynom (Z') zu erhalten; 

(c) Durchfuhren eines Reduktions-Vorausschau-Verf ahrens 
(212), urn einen Reduktions-Verschiebungswert (s N ) zu erhal- 
ten, wobei der Reduktions-Verschiebungswert (s N ) gleich der 
Differenz des Grads des verschobenen Zwischenergebnis- 
Polynoms (Z) und des Grads des Modul-Polynoms (N) ist; 

(d) Multiplizieren (216) der Variable (x) potenziert mit dem 
Reduktions-Verschiebungswert (s N ) mit dem Modul -Polynom (N) , 
urn ein verschobenes Modul-Polynom (N ' ) zu erhalten; 

(e) Summieren (218) des verschobenen Zwischenergebnis- 
Polynoms (Z') und des Multiplikanden (C) und Subtrahieren des 
verschobenen Modul-Polynoms (N' ) , urn ein aktualisiertes Zwi- 
schenergebnis-Polynom (Z) zu erhalten; und 

(f) Wiederholen (226) der Schritte (a) bis (e) , bis samtliche 
Potenzen des Multiplikators (M) abgearbeitet sind, wobei bei 
der Wiederholung der Schritte (a) bis (e) 
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im Schritt (d) als Zwischenergebnis-Polynom (Z) das aktuali- 
sierte Zwischenergebnis-Polynom (Z) des vorausgehenden 
Schritts (e) verwendet wird, und 

im Schritt (c) als Modul-Polynom (N) das verschobene Modul- 
Polynom des vorausgehenden Schritts (d) verwendet wird. 

2. Verfahren nach Anspruch 1, bei dem das Multiplizieren 
(210) im Schritt (d) durch Verschieben der Zwischenergebnis- 
Polynoms (Z) urn eine Anzahl von Stellen gleich dem Multipli- 
kationsverschiebungswert (s z ) ausgefuhrt wird, und 

bei dem das Multiplizieren (216) im Schritt (d) durch Ver- 
schieben des Modul-Polynoms (M) urn eine Anzahl von Stellen 
gleich dem Redukt ions-Verschiebungs-Wert (s N ) ausgefuhrt 
wird. 

3. Verfahren nach Anspruch 1 oder 2, bei dem Koef f izienten 
der Polynome nur den Wert „0" oder „1" haben konnen, und 

bei dem das Summieren und Subtrahieren (218) im Schritt (e) 
durch bitweises XOR-Verknupf en des Zwischenergebnis-Polynoms 
(Z"), des Multiplikanden (C) und des verschobenen Modul- 
Polynoms (N') ausgefuhrt wird. 

4. Verfahren nach einem der vorhergehenden Anspruche, bei dem 
der Schritt des Reduktions-Vorausschau-Verf ahrens (212), urn 
einen Reduktions-Verschiebungs-Wert (s N ) zu erhalten, folgen- 
de Schritte aufweist: 

Bestimmen (414) eines Hilf s-Verschiebungs-Werts (s±) so, da/3 
der Grad des Modulpolynoms (N) und der Grad des aktualisier- 
ten Zwischenergebnis-Polynoms (Z) des vorausgehenden Schritts 
(e) multipliziert mit der Variablen, die mit dem Hilfs- 
Verschiebungswert (s±) potenziert ist, gleich sind, und 
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Bilden (422) der Differenz des Mult ipli kations- 
Verschiebungswerts (s 2 ) und des Hilf s-Verschiebungswerts 
(Si), urn den Reduktions-Verschiebungswert (s N ) zu erhalten. 

5. Verfahren nach Anspruch 4, bei dem der Schritt des Durch- 
fiihrens des Multiplikations-Vorausschau-Verf ahrens (210) und 
der Schritt des Bestimmens (414) des Hilf s-Verschiebungs- 
Werts (si) parallel zueinander ausgeftihrt werden. 

6. Verfahren nach einem der vorhergehenden Anspriiche, 

bei dem der Multiplikations-Verschiebungswert (s z ) auf einen 
Maximal-Multiplikations-Verschiebungswert ( k) begrenzt ist , 

bei dem der Schritt des Durchfiihrens (210) des Multiplikati- 
ons-Verschiebungs-Verf ahrens f olgende Schritte auf weist : 

falls der Multiplikations-Verschiebungs-Wert gleich dem 
Maximal -Mult iplikations-Verschiebungswert ( k) ist, 

Gleichsetzen des Multiplikations-Verschiebungswerts ( s z ) 
mit dem Maximal-Verschiebungs-Wert (k); 

Erzeugen (306, 324) eines Multiplikations-Vorausschau- 
Parameters (a) mit einem vorbestimmten Wert, und 

bei dem der Schritt des Summierens folgenden Schritt auf- 
weist : 

falls der Multiplikations-Vorausschau-Parameter (a) den 
vorbestimmten Wert hat, 

Summieren nur des vorbestimmten Zwischenergebnis-Polynoms 
(Z') und des verschobenen Modul-Polynoms (N"). 

7. Vorrichtung zum modularen Multiplizieren eines Multipli- 
kanden (C) mit einem Mult iplikator (M) unter Verwendung eines 
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Moduls (N) , wobei der Multiplikand (C) , der Multiplikator (M) 
und der Modul (N) Polynome einer Variablen (x) sind, mit fol- 
genden Merkmalen: 

(a) einer Einrichtung zum Durchfuhren (210) eines Multiplika- 
tions-Vorausschau-Verfahrens, urn einen Multiplikations- 
Verschiebungswert (s z ) zu erhalten, wobei bei einer Potenz 
des Multiplikators, die im Multiplikator-Polynom nicht vor- 
handen ist, der Multiplikations-Verschiebungswert s z inkre- 
mentiert wird; 

(b) einer Einrichtung zum Multiplizieren (214) der Variable 
(x) , die mit dem Multiplikations-Verschiebungs-Wert (s z ) po- 
tenziert ist, mit einem Zwischenergebnis-Polynom (Z) , um ein 
verschobenes Zwischenergebnis-Polynom (Z') zu erhalten; 

(c) einer Einrichtung zum Durchfuhren eines Reduktions- 
Vorausschau-Verf ahrens (212), um einen Reduktions- 
Verschiebungswert (s N ) zu erhalten, wobei der Reduktions- 
Verschiebungswert (s N ) gleich der Differenz des Grads des 
verschobenen Zwischenergebnis-Polynoms (Z) und des Grads des 
Modul-Polynoms (N) ist; 

(d) einer Einrichtung zum Multiplizieren (216) der Variable 
(x) , die mit dem Reduktions-Verschiebungswert (s N ) potenziert 
ist, und des Modul-Polynoms (N) , um ein verschobenes Modul- 
Polynom (N") zu erhalten; 

(e) einer Einrichtung zum Summieren (218) des verschobenen 
Zwischenergebnis-Polynoms (Z') und des Multiplikanden (C) und 
Subtrahieren des verschobenen Modul-Polynoms (N'), um ein ak- 
tualisiertes Zwischenergebnis-Polynom (Z) zu erhalten; und 

(f) einer Einrichtung zum wiederholten Ansteuern (226) der 
Einrichtungen (a) bis (e) , bis samtliche Potenzen des Multi- 
plikators (M) abgearbeitet sind, wobei bei einer wiederholten 
Ansteuerung der Einrichtungen (a) bis (e) 



200015061 



32 



die Einrichtung zum Multiplizieren (214), urn ein verscho- 
benes Zwischenergebnis-Polynom zu erhalten, angeordnet 
ist, um als Zwischenergebnis-Polynom (Z) das aktualisier- 
te Zwischenergebnis-Polynom (Z) aus der vorausgehenden 
Ansteuerung der Einrichtung zum Summieren (218) zu ver- 
wenden, und 

die Einrichtung zum Durchfuhren eines Reduktions- 
Vorausschau-Verf ahrens (212) angeordnet ist, um bei einer 
wiederholten Ansteuerung als Modul-Polynorn (N) das ver- 
schobene Modul-Polynom aus der vorausgehenden Ansteuerung 
der Einrichtung zum Multiplizieren (216) , um ein verscho- 
benes Modul-Polynom zu erhalten, zu verwenden. 

8. Vorrichtung nach Anspruch 7, bei der die Einrichtung (214) 
zum Multiplizieren, um ein verschobenes Zwischenergebnis- 
Polynom (Z') zu erhalten, und die Einrichtung (216) zum Mul- 
tiplizieren, um ein verschobenes Modul-Polynom (N") zu erhal- 
ten, als steuerbare Schieberegister ausgeflihrt sind, um ab- 
hangig vom Multiplikations-Verschiebungs-Wert (s z ) oder vom 
Reduktions-Verschiebungs-Wert (s N ) eine Verschiebung des Re- 
gisterinhalts um eine entsprechende Anzahl von Stellen durch- 
zuf iihren . 

9. Vorrichtung nach Anspruch 7 oder 8, bei der die Einrich- 
tung (218) zum Summieren und zum Subtrahieren als bitweise 
XOR-Verknupf ung des Zwischenergebnis-Polynoms (Z'), des Mul- 
tiplikanden (C) und des verschobenen Modul-Polynoms (N') aus- 
geflihrt ist. 

10. Vorrichtung nach Anspruch 7 oder 8, bei der die Einrich- 
tung (218) zum Summieren und Subtrahieren folgende Merkmale 
auf weist : 

einen Zahler (500) mit drei Eingangsleitungen und zwei Aus- 
gangsleitungen, wobei an eine erste Eingangsleitung ein Bit 
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des Zwischenergebnis-Polynoms (Z) anlegbar ist, wobei an eine 
zweite Eingangsleitung ein Bit des Multiplikanden (C) anleg- 
bar ist, und wobei an eine dritte Eingangsleitung ein Bit des 
verschobenen Modul-Polynoms (N ' ) anlegbar ist, 

5 

einen Volladdierer (510) mit drei Eingangen und einem Aus- 
gang, wobei ein niederwertiger Ausgang des Zahlers (500) mit 
einer hoherwertigen Eingangsleitung des Volladdierers (510) 
verbunden ist; 

10 

einen Schalter (520), der zwischen einer hoherwertigen Aus- 
gangsleitung des Zahlers (500) und einem mittleren Eingang 
eines Volladdierers (510) fur ein hoherwertiges Bit geschal- 
tet ist; und 

15 

eine Steuereinrichtung (530) zum Offnen des Schalters (520), 
wenn Polynome zu verarbeiten sind. 

11. Rechenwerk zum Multiplizieren eines Multiplikanden- 
20 Polynoms mit einem Mult iplika tor- Pol ynom unter Verwendung ei- 
nes Modul-Polynoms, wobei das Multiplikanden-Polynom, das 
Multiplikator-Polynom und das Modul-Polynom Polynome einer 
Variablen sind, oder, wahlweise, zum Multiplizieren einer 
Multiplikanden-Ganzzahl mit einer Multiplikator-Ganzzahl un- 
25 ter Verwendung einer Modul-Ganzzahl, mit folgenden Merkmalen: 

(a) einer Einrichtung zum Durchfuhren (210) eines Multiplika- 
tions-Vorausschau-Verf ahrens, urn einen Multiplikations- 
Verschiebungswert (s z ) zu erhalten, wobei bei einer Potenz 

30 des Multiplikators, die im Multiplikator-Polynom nicht vor- 

handen ist, der Multiplikations-Verschiebungswert (s z ) inkre- 
mentiert wird; 

(b) einer Einrichtung zum Multiplizieren (214) der Variable, 
35 die mit dem Mult iplikations-Verschiebungs-Wert (s z ) poten- 

ziert ist, mit einem Zwischenergebnis-Polynom, urn ein ver- 
schobenes Zwischenergebnis-Polynom zu erhalten; 
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(c) einer Einrichtung zum Durchfiihren eines Reduktions- 
Vorausschau-Verf ahrens (212), urn einen Reduktions- 
Verschiebungswert (s N ) zu erhalten, wobei der Reduktions- 
Verschiebungswert (s N ) gleich der Differenz des Grads des 
verschobenen Zwischenergebnis-Polynoms und des Grads des Mo- 
dul-Polynoms ist; 

(d) einer Einrichtung zum Multiplizieren (216) der Variable 
(x) , die mit dem Reduktions-Verschiebungswert (s N ) potenziert 

ist, mit dem Modul-Polynom, urn ein verschobenes Modul-Polynom 

zu erhalten; 

(e) einer Einrichtung (710) zum Durchfuhren eines Multiplika- 
tions-Vorausschau-Verf ahrens und eines Reduktions- 
Vorausschau-Verf ahrens fur Ganzzahl-Operanden, urn ein Ganz- 
zahl-Zwischenergebnis und einen verschobenen Ganzzahl-Modul 
zu erhalten; 

(f) einem Drei-Operanden-Addierer (700) mit einer Ubertrag- 
Abschalt-Einrichtung (730) zum Kombinieren entweder der Ganz- 
zahl-Operanden oder des Polynom-Zwischenergebnisses, des ver- 
schobenen Modul-Polynoms und des Polynom-Multiplikanden; 

(g) einer Steuereinrichtung (730) zum Steuern der Ubertrag- 
Abschalt-Einrichtung, damit der Obertrag deaktiviert ist, 
wenn Polynom-Operanden verarbeitet werden, und damit der 0- 
bertrag aktiviert ist, wenn Ganzzahl-Operanden verarbeitet 
werden . 

12. Rechenwerk nach Anspruch 11, bei dem der Drei-Operanden- 
Addierer mit einer Ubertrag-Abschalt-Einrichtung folgende 
Merkmale auf weist : 

einen Zahler (500) mit drei Eingangsleitungen und zwei Aus- 
gangsleitungen, wobei an eine erste Eingangsleitung ein Bit 
des Zwischenergebnis-Polynoms anlegbar ist, wobei an eine 
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zweite Eingangsleitung ein Bit des Multiplikanden (C) anleg- 
bar ist, und wobei an eine dritte Eingangsleitung ein Bit des 
verschobenen Modul-Polynoms anlegbar ist, 

5 einen Volladdierer (510) mit drei Eingangen und einem Aus- 
gang, wobei ein niederwertiger Ausgang des Zahlers (500) mit 
einer hoherwertigen Eingangsleitung des Volladdierers (510) 
verbunden ist; 

10 einen Schalter (520) , der zwischen einer hoherwertigen Aus- 
gangsleitung des Zahlers (500) und einen mittleren Eingang 
eines Volladdierers (510) fur ein nachsthoheres Bit geschal- 

^ tet ist; und 

15 eine Steuereinrichtung (530) zum Offnen des Schalters (520) , 
wenn Polynome zu verarbeiten sind. 

13. Rechenwerk nach Anspruch 12, bei dem eine Mehrzahi von 
Drei-Operanden-Addierern vorhanden ist, wobei die Anzahl der 
20 vorhandenen Drei-Operanden-Addierer groBer oder gleich der 
Anzahl von Stellen der Modul-Ganzzahl oder der Polynom- 
Ganzzahl ist. 
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Zusammenf as sung 

Verfahren und Vorrichtung zum modularen Mult iplizieren und 
Rechenwerk zum modularen Mult iplizieren 

Bei einem Verfahren zum modularen Multiplizieren eines Multi- 
plikanden (C) mit einem Multiplikator (M) unter Verwendung 
eines Moduls (N) , wobei der Multiplikand, der Multiplikator 
und der Modul Polynome einer Variablen sind, wird ein Mul- 
tiplikations-Vorausschau-Verf ahren (210), urn einen Multipli- 
kations-Verschiebungswert (s z ) zu erhalten, ausgefuhrt. Ein 
Zwischenergebnis-Polynom (Z) wird urn die Anzahl von Stellen 
des Multiplikations-Verschiebungs-Werts (s 2 ) nach links ver- 
schoben (214), urn ein verschobenes Zwischenergebnis-Polynom 
(Z') zu erhalten. Daruber hinaus wird ein Reduktions- 
Vorausschau-Verfahren (212), urn einen Reduktions- 
Verschiebungswert (s N ) zu erhalten, ausgefuhrt, wobei der Re- 
duktions-Verschiebungswert gleich der Differenz des Grads des 
verschobenen Zwischenergebnis-Polynoms (Z' ) und des Grads des 
Modul-Polynoms (N) ist. Hierauf wird das Modul-Polynom urn ei- 
ne Anzahl von Stellen gleich dem Reduktions-Verschiebungswert 
verschoben (216) , urn ein verschobenes Modul-Polynom zu erhal- 
ten. In einer Drei-Operanden-Addition (218) werden das ver- 
schobene Zwischenergebnis-Polynom (Z') und der Multiplikand 
(C) summiert, und das verschobene Modul-Polynom (N " ) wird 
subtrahiert, urn ein aktualisiertes Zwischenergebnis-Polynom 
(Z) zu erhalten. Durch iteratives Ausfuhren (226) der vorste- 
henden Schritte wird die modulare Multiplikation nach und 
nach abgearbeitet, bis samtliche Potenzen des Multiplikator- 
Polynoms verarbeitet sind. Durch eine Ubertrag-Abschalt- 
Funktion ist es moglich, sowohl eine Z/NZ-Arithmet ik als auch 
eine GF (2 n ) -Arithmetik auf einem einzigen Langzahl-Rechenwer k 
auszuf uhren. 



Figur 2 



